최근 산업군을 막론하고 정보 유출 사태가 잇따르며 금융권 보안 민감도는 최고조에 달한다. 기업이 관리해야 하는 보안 자산 영역이 물리적 자산뿐 아니라 IT 시스템, 정보자산, 개인정보 등으로 확대됨에 따라 이를 효과적으로 관리하기 위한 대응 체계 구축도 분주한 상태다. 이와 함께 분산돼 관리되는 물리적 보안과 전산 보안을 효율적으로 연계해 관리해야 한다는 필요성도 제기되며 통합 보안 체계에 관한 관심도 높아지고 있다.
◇금융권 연이은 사건·사고에 '보안 주의보'
강민국 국민의힘 의원실이 금융감독원으로부터 제출받은 국내 금융업권 해킹 침해사고 발생 현황에 따르면, 2020년부터 2025년 6월까지 최근 6년간 금융업계에 발생한 해킹사고는 27건으로 5만명이 넘는 고객 정보가 유출된 것으로 나타났다. 업권별로는 은행업권이 12건으로 가장 많은 해킹 침해사고가 발생했고, 이어 증권업(6건), 저축은행(3건), 카드업(2건), 생명보험업(1건) 순으로 나타났다. 금융권에서 소비자 피해에 대해 배상한 규모는 1억9526만원으로, 총 148명 소비자가 배상을 받았다.
여기에 지난 8월 발생한 롯데카드 해킹 사태까지 더하면 고객 정보 유출 규모는 급격히 늘어난다. 롯데카드 해킹 사태로 내부 파일이 유출돼 기존 회원 960만명 중 3분의 1에 해당하는 297만명 고객 개인정보가 노출된 것으로 알려졌다. 롯데카드는 5년간 1100억원 규모 정보보호 투자 계획을 연말까지 이사회에 보고할 계획이다.
물리적 보안으로 인한 정보유출 사고도 지속해 반복되고 있다. 시중은행에서 외주 직원이 내부망 데이터베이스(DB)에 접근 후 고객 정보를 이동형 저장장치(USB)로 반출하거나, 저축은행에서 전·현직 직원이 공모해 고객 정보를 불법 유출하고 판매한 사례가 존재한다. 보험사에서 내부 직원이 직접 전산시스템을 조회해 개인정보를 외부에 제공한 사건은 물리적 보안과 내부 통제 중요성을 일깨우는 대목이다.
금융권에서 물리적 보안과 정보 보호 담당 조직이 이원화 되어 있다 보니, 모든 영역을 통합적으로 관리할 수 있는 일관된 정책과 절자, 모니터링이 불가능하다는 지적도 나온다.
보안업계 관계자는 “내부자 사고를 방지하기 위해 물리보안과 정보보안을 아우르는 통합 인증 체계가 필요하다”고 말했다.
◇물리보안·정보보호 동시 실현 '통합 보안' 체계 부각
실제 국내외에서 정보 보호 체계 공백을 막기 위한 '통합 보안 체계' 구축 움직임이 나타나고 있다. 최고정보보호책임자(CISO)와 별도로 운영되는 물리 보안 조직에서 발생할 수 있는 내부 통제 공백을 채우기 위해 조직 개편, 시스템 개발 등 다양한 방식이 이어지는 중이다.
SK텔레콤은 고객 데이터 유출사태 이후 최고경영자(CEO) 직속 '통합보안센터'를 신설했다. 지난 8월 1일 출범한 센터는 산재한 내부 정보 보호조직을 일원화해 회사 보안을 책임진다. 기존에 센터별로 두고 있던 정보보호실과 보안 관련 팀을 CISO 산하로 합쳐 상위 보안 리더십 체계를 구축하고 규모도 늘렸다. 전반적인 보안 거버넌스를 강화하고 전문 역량을 강화하는 전사적 대응이다.
호주국립은행(NAB) 역시 물리보안, 사기방지, 정보보호 등 여러 보안 기능을 하나의 조직으로 통합하는 '통합 보안 모델'로 재구조화하는 작업을 추진하며 새로운 최고보안책임자(CSO)를 임명했다. 모든 보안 관련 운영을 하나의 부서로 옮겨 보안에 영향을 받는 모든 요소를 하나의 모델로 통합해 운영하기 위해서다.
메타(구 페이스북) 역시 과거 최고글로벌보안책임자(CGSO) 직책 아래 데이터 보호를 위한 물리적 보안 체계를 구축했다. 단순히 사람의 출입 통제 등 물리적 보안뿐 아니라 정보 보안까지 염두에 둔 조치다. 데이터센터에 보안 시스템과 기술을 적용해 물리적 출입 역시 시스템화해 관리할 뿐 아니라, 보안 위협 시 오프라인과 온라인 경계를 두지 않고 통합 대응을 실시한다.
정다은 기자 dandan@etnews.com
